1
我有一個在Angular JS和Webapi中開發的應用程序。我使用OWIN框架使用基於標記的身份驗證。該應用程序部署在一家軟件公司,很少有對此技術有所瞭解的開發人員使用Chrome開發人員工具並直接訪問API方法並繞過客戶端的驗證。有沒有辦法控制這個?隱藏在Chrome開發工具中顯示的HTTP GET/POST請求
請查看chrome開發者工具顯示持票者令牌的屏幕截圖,Webapi方法&其有效載荷。 
A
回答
0
您無法真正隱藏瀏覽器上顯示的HTTP請求。你可以做的是控制誰獲取該訪問令牌,其到期時間以及他擁有的權限和聲明。
您不能從運行該瀏覽器的用戶隱藏瀏覽器的活動。
只有在使用正確的憑證成功登錄後才能生成令牌,並且可以使用開發人員工具中顯示的令牌從郵遞員等工具調用API,直到它過期(因此設置更短的到期時間)。
令牌使用用戶A的憑證生成的應該不具有操作用戶B的數據的權限,並且應該明確處理。
所以,一個選擇是用戶A可以竊取他自己的訪問令牌並使用它來操縱他自己的數據,除非令牌存活。
相關問題
- 1. 如何在chrome開發工具中隱藏html註釋?
- 2. 如何在chrome開發工具中隱藏樣式部分?
- 3. 查看Chrome開發人員工具中的請求時間
- 4. PHP - $請求 - >的getPost( 'FIRST_NAME')
- 5. SVG工具提示隱藏/顯示
- 6. 如何隱藏在angularjs $ http請求
- 7. 取消Chrome開發者工具的阿賈克斯請求
- 8. 未被Chrome開發人員工具捕獲的AJAX請求
- 9. 在chrome開發工具中仿真4k顯示器
- 10. 在Chrome開發人員工具中突出顯示橙色
- 11. HTTPS請求中的數據是否應該在Chrome開發人員工具中顯示爲已加密?
- 12. 從vba執行隱藏的http請求
- 13. Chrome開發人員工具中CSS規則的顯示順序
- 14. Chrome開發人員工具在點擊控制檯中的鏈接時未突出顯示xhr請求
- 15. 顯示/隱藏窗口iPhone開發
- 16. 在Chrome開發工具中隱藏網絡選項卡預覽信息
- 17. iPhone:隱藏/顯示工具欄
- 18. Android小工具HTTP請求
- 19. 如何在Chrome開發工具中過濾未擴展的XHR請求?
- 20. Mac OSX開發 - 顯示/隱藏按鈕
- 21. HTTP請求Android開發
- 22. 隱藏x軸標籤,但在chart.js中顯示工具提示
- 23. 如何讓http獲取請求並隱藏請求的鏈接
- 24. JS顯示/隱藏開關
- 25. 你如何讓Chrome開發者工具只顯示你的console.log?
- 26. Chrome的「開發者工具」元素 - 隱藏惱人的黃色尺寸框
- 27. 如何在鉻反應開發者工具中隱藏密碼?
- 28. Chrome開發工具爲空
- 29. jQuery的工具提示:添加/刪除與顯示/隱藏
- 30. 在$ http發佈請求時在Ionic框架中顯示微調
我從來沒有使用OWIN,但通常的邏輯是: auth是唯一的,並且從服務器生成一個祕密,服務器應該根據secret關鍵字檢查該令牌是否有效。因此,一旦其他開發人員訪問您的瀏覽器,就無法隱藏它,因爲令牌已存儲(通常位於您的瀏覽器cookie中)。但是,它們不能自由生成令牌,因爲服務器將根據傳入的Auth承載字符串檢查每個請求的有效性。 –